Συγκριτική μελέτη ανάλυσης επικινδυνότητας

Abstract

Η ραγδαία ανάπτυξη των τεχνολογιών πληροφορικής και η εκτεταμένη χρήση τους στο επιχειρησιακό περιβάλλον έχει διευκολύνει στο μέγιστο τη διεξαγωγή των επιχειρησιακών λειτουργιών, αλλά ταυτόχρονα έχει εισάγει πολλά σημαντικά ζητήματα σχετικά με την ασφάλεια των πληροφοριακών συστημάτων μιας επιχείρησης. Τα ζητήματα αυτά σχετίζονται κυρίως με τη διασφάλιση της εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας των επιχειρησιακών πληροφοριών απέναντι στους κινδύνους που ελλοχεύουν και απειλούν τις τρεις αυτές βασικές αρχές ασφάλειας. Οι προκλήσεις της εποχής στην οποία ζούμε αφορούν στη συμμόρφωση με νομικές και κανονιστικές διατάξεις, στη χρήση νέων τεχνολογιών, καθώς και στον ιδιαίτερα αυξημένο πλήθος νέων κινδύνων και χρηστών (κυρίως μη εκπαιδευμένων) σε ζητήματα ασφάλειας. Τα περιστατικά ασφάλειας συνεχώς αυξάνονται και αυτό οδηγεί στην αναζήτηση λύσεων για την προφύλαξη των δεδομένων, καθιστώντας πιο αναγκαίο από ποτέ το έργο της προστασίας των πληροφοριακών συστημάτων. Τη λύση στο παραπάνω πρόβλημα έρχεται να δώσει η ανάλυση επικινδυνότητας η οποία βοηθάει στον εντοπισμό, την εκτίμηση και την αξιολόγηση των κινδύνων, καθώς και στην παροχή της λήψης κατάλληλων αποφάσεων σε ότι αφορά τις ενέργειες που χρειάζεται να γίνουν για την αποτροπή ή τη μείωση του κινδύνου σε αποδεκτά επίπεδα. Η παρούσα διπλωματική εργασία ασχολείται με την ανάλυση και διαχείριση της επικινδυνότητας και συγκεκριμένα με τη μελέτη και σύγκριση δύο μεθόδων ανάλυσης επικινδυνότητας. Μέσω αυτής της διαδικασίας δίνεται η δυνατότητα προσδιορισμού των κρίσιμων αγαθών - περιουσιακών στοιχείων (assets) ενός συστήματος, των δυνητικών απειλών (threats), των ευπαθειών (vulnerabilities) και προτείνονται κάποια αντίμετρα - μέτρα προστασίας (counter¬measures) τα οποία εξασφαλίζουν την ασφαλέστερη λειτουργία του συστήματος. Το σύστημα που χρησιμοποιήθηκε για τη μελέτη είναι ένα υπαρκτό πληροφοριακό σύστημα μιας εταιρείας του Ελλαδικού χώρου από την οποία έχει ζητηθεί να μην ανακοινωθεί η επωνυμία της. Η μελέτη έγινε με τη χρήση των μεθόδων CRAMM (CCTA Risk Analysis and Management Method) και OCTAVE Allegro (Operational Critical Threat, Asset, and Vulnerability Evaluation). Αρχικά γίνεται μία περιγραφή της υποδομής που μελετήθηκε, περιγράφοντας αναλυτικά τα περιουσιακά στοιχεία της εν λόγω εταιρείας, μελετώνται οι απειλές που υφίσταται τα σύστημα και τα σημεία ευπάθειας που αυτά παρουσιάζουν και ακολούθως υπολογίζεται ο βαθμός επικινδυνότητας του Πληροφοριακού Συστήματος. Στη συνέχεια αναπτύσσεται ένα ολοκληρωμένο σχέδιο ασφάλειας για την εταιρεία, το οποίο περιλαμβάνει τόσο τα προτεινόμενα αντίμετρα, όσο και την πολιτική ασφάλειας της εταιρείας. Τέλος παρουσιάζεται μία σύγκριση αυτών των δύο μεθόδων.